Datacenter / Netzwerk

[xunil2 10]

Hallo liebes Cisco Board,

 

ich bräuchte mal eure Hilfe zur Reflektion meiner Netzwerkplanung.

Ich habe folgendes Szenario (Netzplan siehe Grafik)

Aufbau einer 3-Tier Webapplikation dazu folgendes Netzwerkdesign.

 

2 Cisco Asa 55xx / Failover (Active/Standby)

 

2 Cisco 29xx für die DMZ

 

2 Cisco 29xx für das Netz in dem Application und Datenbankserver stehen.

 

In der DMZ stehen die Webserver die die Anfragen auf die Applikation Server weiterleiten. Diese wiederum brauchen Zugriff auf die Datenbankserver.

Momentan tendiere ich zu 2 Zonen. Eine DMZ in der die Webserver stehen und eine Netz in dem die Applikation-Server stehen.

Trunking an den ASA´s habe ich noch nicht vorgesehen (eure Meinung ist gefragt). Von der DMZ in das interne Netz sollen nur ausgewählte Ports erlaubt sein.

 

Was ich euch Fragen möchte ist folgendes:

1. Würdet Ihr mit VLAN´s arbeiten DMZ/internes Netz und dies über die ASA trunken (Sicherheit?)

2. HA (Switche) und Failover (ASA) soll gesichert sein. Switche redundant, die ASA´s sollen als Active/Standby konfiguriert werden. Funktioniert dies so wie ich es mir vorstelle/ was ist zu beachten.

 

Jo, dies sind so die Fragen die ich hätte, mein Problem ist das ich meine Vorstellungen gegen niemanden reflektieren kann und das gante sicher sein soll.

 

Ich denke ist ein ganz nettes Szenario und genau das richtige fürs WE:)

 

liebe grüße

[Otaku19 33]

trunken: ja, sofern das kein bandbreienproblem gibt. Aber sicher nicht DMZ und Application/Datenbank VLANS auf allen Switches :)

 

Wenn du eh schon 4 Switches hast, dann mach die Anbindung genauso wie auf der zeichnung. Ob dann Application un Datenbankserver im gleichen VLAN sind oder nicht ist wohl Geschmackssache und hängt sicher auch von der Anwendung ab

[blackbox 10]

Hi,

 

du musst aber aufpassen - was die Aktiv - Passiv Firewall betrifft - wenn am "Aktiv" Link nicht am Switch der Link wegbricht - schaltet die Firewall nicht um. Da ggf. mit Keepalives arbeiten - die durch die Struktur gehen

[Otaku19 33]

failovermessages gehen über alle LAN Interfaces

[blackbox 10]

Es passiert aber nix - wenn der Link zum Datenbankserver wegbricht - dann schaltet er nicht auf die andere Firewall...

[Otaku19 33]

der hängt doch eh an 2 Switchen dran die jeweils miteinander und an beiden FWs dranhängen

[blackbox 10]

hi,

 

ne wenn du dir die Zeichnung ansiehts - ist das nicht so - je Firewall nur ein Switch.

[xunil2 10]

@otaku19 (failover)

bezüglich des failovers, brauche ich mir also keine sorgen zu machen?

hatte befürchtungen, dass wenn der switch der an der aktive fw angeschlossen ist wegbricht, dass dann der verkehr ins nirvana läuft.

@otaku19 (vlans, trunking)

habe ich dich richtig verstanden, dass ich keine vlans für dmz und applikation netz aufsetzen soll. problem ist das ich alle interfaces (so wie auf der zeichnung) an der asa komplett ausreize (inkl. management interface).

wo soll ich Deiner / eurer Meinung nach vlans aufsetzen?

 

Vielen Dank schon einmal für eure bisherigen Beiträge !!!

[Otaku19 33]

@blackbox

ich sehe hier kein problem, welcher Link soll denn down gehen (oder einfach keine Daten transferieren) um Probleme zu verursachen ?

 

@xunil

so wie dein plan hier aussieht sind DMZ und Applikationsserver nicht am selben Switch...welchen Sinn würde heir also ein Trunk ergeben ? Du könntest vielleicht noch Appliaktion und Datenbaknserver in 2 Netze (aber am gleichen Switch) trennen. Dazu muss halt erhoben werden ob das die Appliaktion "verträgt".

ich sehe auf der ASA 4 Links, der Link zwischen beiden ASAs kann zB das Managementinterface sein. Du schreibst allerdings noch nicht welches Modell du da genau hast

[blackbox 10]

Hi,

 

wenn der Switch1 - wie vor kurzen bei einem Kunden von uns - einfach noch alle Links hatte - aber keine Daten mehr "transportiert" - dann passiert dort einfach nix. Die Firewalls müssen auch an beide "Switche" - sonst hast du nur eine gefühlte Sicherheit.

[Otaku19 33]

wenn der link zwischen ASA und Switch1 nix mehr tut, dann erkennt die ASA das und kann umschalten, schließlich sieht die aktive ASA keine Meldungen mehr von der standby ASA auf diesem LAN interface.

 

Zu den Servern durchgehend die Verbindung prüfen könnte man mit ip sla ? Glaube das lässt sich doch auch so einbinden das es die ASA zum umschalten bewegt. Nur muss dann der Server ebenfalls diesen Interfacefehler detektieren und auf sein backupinterface umschalten

[xunil2 10]

bedeutet das, dass ich die asa´s (5510) nicht direkt miteinander verbinden muss?

bin davon ausgegangen, dass ich beide direkt miteinander verbinden muss.

 

so wie ich eure Beiträge interpretiere, werde ich keine vlans benutzen d.h.

 

1 interface für application / datenbankserver netz

2 interfaces um die asa an jeweils beide dmz switch anzuschliesen

1 interface um die asa ans internet anzubinden

 

boah ich danke euch jetzt für eure unterstützung ist echt ein super board hier

[Otaku19 33]

o doch, die müssen "quasi direkt" verbunden werden, willst ja schließlich sicher state tables übertragen können, dazu wird ein dezidierter Link benötigt. Im Normalfall reicht dazu aber der 100mbit Managementport aus, auch als LAN failover link.

IIRC muss dann aber ein Switch dazwischen sein...weiß nicht mehr genau